forum.opennet.ru - "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." (83)

"Эксперимент по изучению деятельности вредоносного ПО, нацеле..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
Сообщение от opennews (??), 18-Дек-13, 11:52
Наблюдая попытки проверки наличия уязвимостей в логе своего web-сервера, исследователь безопасности из Университета Джорджа Вашингтона решил устроить ловушку (honeypot) и понаблюдать (http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie... за тем, что произойдёт в случае, если злоумышленники обнаружат наличие уязвимости. Для анализа содержимого памяти во время выполнения вредоносных программ использовался фреймворк Volatility (https://code.google.com/p/volatility/). После симуляции уязвимости в CGI-режиме PHP, исправленной (https://www.opennet.ru/opennews/art.shtml?num=33765) в мае прошлого года, на сервер-ловушку под видом PDF-файла был загружен perl-скрипт, запущен и сразу удалён. После запуска скрипт некоторое время находился в неактивном состоянии, чтобы затруднить сопоставление данных в логе с вредоносной активностью. Затем скрипт подключился к одному из IRC-каналов и загрузил ещё один скрипт, в результате выполнения которого в системе оказалась серия вредоносных приложений. За несколько дней в системе удалось наблюдать выполнение достаточно разнородного набора программ, отличающихся как по назначению (майнинг криптовалюты биткоин, осуществление DoS-атак, сканирование хостов на наличие уязвимостей, запуск ботов), так и по содержимому (исполняемые файлы в формате ELF, скрипты на perl и shell). Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников и администраторам следует не забывать о поддержании системы в актуальном состоянии и оперативно устранять уязвимости в web-приложениях. URL: http://sempersecurus.blogspot.com/2013/12/a-forensic-overvie... Новость: https://www.opennet.ru/opennews/art.shtml?num=38683
Ответить \| Правка \| Cообщить модератору

Оглавление

PHP же, причем тут Линукс , Аноним (-), 11:52 , 18-Дек-13, (1)

Потому что BSD пока нет программ для майнинга, а так сам в инете где то читал, , IMHO (?), 12:03 , 18-Дек-13, (3) –5

Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй, asavah (ok), 12:54 , 18-Дек-13, (12) –5

Насколько мощные видеокарты на ваших серверах , Аноним (-), 12:57 , 18-Дек-13, (15) +4

Обломал неудавшегося биткоинового магната , Аноним (-), 13:22 , 18-Дек-13, (18) +10

Для лайткоинов в принципе и CPU не совсем плох там скорость работы с RAM роялит, Аноним (-), 06:14 , 19-Дек-13, (82)

Видеокарты уже прошлый век, сейчас в тренде использовать ASIC, Аноним (-), 13:31 , 18-Дек-13, (19)

Я ему хотел про лайты сказать если бы карты мощные были , Аноним (-), 13:34 , 18-Дек-13, (20)

майнить можно не только видео картой, IMHO (?), 15:28 , 18-Дек-13, (33) –1

Да, есть еще азики и фпга , Аноним (-), 15:45 , 18-Дек-13, (36)
Можно еще ASIC-ками А майнить на процессоре - все равно что копать котлован чайн, anonymousZ (?), 15:46 , 18-Дек-13, (37)

Суть ботнетов - собрать миллион ботов с чайными ложками, авось чего выкопают , Аноним (-), 15:50 , 18-Дек-13, (39) +1

Не выкопают Время когда ботнэты могли что-то выкопать закончилось где-то в конце, anonymousZ (?), 18:52 , 18-Дек-13, (58) –2

Выкапывают Было бы это не так - никто б не заморачивался , Аноним (-), 06:10 , 19-Дек-13, (80)

Вот за что я люблю школьных аналитиков с опеннет Нихрена не умею, ничего никогд, anonymousZ (?), 16:23 , 19-Дек-13, (93)

Смотри 5 85 и думай кто на самом деле аналитик , Хвост (?), 13:15 , 20-Дек-13, (99)

Ты наверное На заре его существования и биткоин можно было спокойно майнить на, anonymousZ (?), 16:59 , 20-Дек-13, (100)

Поскольку этим занимаются тысячи железяк и они никуда не торопятся - нехай копаю, Аноним (-), 06:12 , 19-Дек-13, (81)

Смотрим Праймкоин Primecoin XPM - криптовалюта, расчитанная на майнинг на проц, Хвост (?), 11:05 , 19-Дек-13, (85)

Это примерно как у меня нет штанов, поэтому их никто не сопрет, вау , Аноним (-), 06:07 , 19-Дек-13, (77) +1

В данном случае php - это только способ распространения Главное другое - под ли, Аноним (-), 17:58 , 19-Дек-13, (94) –2

Ну и где они эти ваши вирусы все что в статье - НЕ вирус , fi (ok), 18:23 , 19-Дек-13, (95) +1

Почему же, это вполне себе вирус Единственное, он работает на очень малом колич, Аноним (-), 09:52 , 20-Дек-13, (97) –1

Нет Давайте оставим хомячковую терминологию хомячкам Это червь, бекдор, всё чт, Ordu (ok), 10:21 , 20-Дек-13, (98) +1

Т е если установить Apache PHP на оффтопик, то всё будет пучком Внатуре, при, Аноним (-), 11:59 , 18-Дек-13, (2) +7

При том, что дыра в PHP лишь частный случай уязвимости, через которую можно прон, Аноним (-), 12:14 , 18-Дек-13, (5) –6

Повторяю вопрос при чем здесь Linux , Аноним (-), 12:54 , 18-Дек-13, (13) +3

Повторяю ответ читай пост выше , Miha (??), 13:00 , 18-Дек-13, (16) –5

Там какой-то поток сознания, никак не относящийся к заданному вопросу , Аноним (-), 13:35 , 18-Дек-13, (21) +5

Специально для упоротых до измененного восприятия , wooz (ok), 16:19 , 18-Дек-13, (41) –3

А еще бывают в сборках для винды и фрибсд Так чего сказать-то хотел , Аноним (-), 17:26 , 18-Дек-13, (47) +4

Ты это, братан, к чему клонишь , Аноним2 (?), 21:01 , 18-Дек-13, (64) –1

Наверное намекает что у половины местных бсдшников без вирусов - винды в дуалб, Аноним (-), 06:09 , 19-Дек-13, (79) +1

Что все вирусы используют уязвимости в софте и линукс тоже им подвержен т к умее, Аноним (-), 22:39 , 18-Дек-13, (69) –2

Рация на бронепоезде , Аноним (-), 21:42 , 18-Дек-13, (67)

Данная ОС в свете своей популярности на серверах становится хорошей средой для о, Аноним (-), 13:02 , 18-Дек-13, (17) –4

Хорошей средой для обитания вирусов ОС делает не популярность на серверах, а что, Аноним (-), 13:36 , 18-Дек-13, (22) +1

это мы уже слышали но как показывает практика - дыры в Linux не фиксятся года, linux must __RIP__ (?), 17:17 , 18-Дек-13, (45) –9

Скажу по секрету - срок надо считать не с момента появления, а с момента обнаруж, Аноним (-), 17:28 , 18-Дек-13, (48) +1

Момент обнаружения момент обнародования С уважением, ваш кэп , Аноним (-), 16:23 , 19-Дек-13, (92) –1

А что бы легче было разглядеть реальность можно просто посмотреть на то как испр, Аноним (-), 18:57 , 18-Дек-13, (59) –2

такие слова в приличном обществе принято сопровождать пруфлинками это, конечно,, arisu (ok), 20:52 , 18-Дек-13, (63) +1

Конечно ясен, Вам нужен пруф того о какой ошибке я говорил, но на данный момент , Аноним (-), 22:17 , 18-Дек-13, (68) –1

Сышишь, Анон, ты братишка часом не путаешь бекпорт патчи дистрибутивов когда как, ПлюшевыйМишка (?), 12:38 , 19-Дек-13, (87)
вместо этой портянки мог сразу написать 171 я балабол 187 , arisu (ok), 15:28 , 19-Дек-13, (91) +1

Покажи мне дыры в текущем ядре Linux, которым уже годы Очень интересно , Аноним (-), 06:07 , 19-Дек-13, (78) +1

Просто ему дали венду и сказали что это Linux, slowpoke (?), 13:11 , 19-Дек-13, (88) +1

Средой для обитания чего , Аноним (-), 14:39 , 18-Дек-13, (29)

Вирусов Эта такая программа, которая встраивает свой код в EXE-файлы , Аноним (-), 17:30 , 18-Дек-13, (50) +2

В DLL тоже , Аноним (-), 01:47 , 19-Дек-13, (74)

в голове админа должен быть набор каштанов десяти сортов, чтобы использовались п, Куяврик (?), 00:01 , 19-Дек-13, (70) –2

Пучок вирусов в оффтопике будет, ага , Организация Объединённых Тюленей (?), 14:20 , 18-Дек-13, (25) +1

При том, что кто-то уже 20 лет упорно кукарекает про какую-то архитектуру , кот, Аноним (-), 12:08 , 18-Дек-13, (4) –14

От уязвимостей спасает не дизайн а способ разработкиСтыдно, юноша, Аноним (-), 12:22 , 18-Дек-13, (6) +7

И каким же образом В лицензию написали что нельзя пакостить , клоун Стаканчик (?), 12:34 , 18-Дек-13, (9) –5

Таким, как вы, объяснять бесполезно Ваши хозяева и не подозревают, что написани, Аноним (-), 12:56 , 18-Дек-13, (14) +5
очень простым образом удержанием подобных тебе подальше нет вас 8212 нет и , arisu (ok), 14:07 , 18-Дек-13, (24) +1

От уязвимостей спасает дизайн , Аноним (-), 18:08 , 18-Дек-13, (56)

Какие 20 Пхп только в 1995 появился Да и про архитектуру его даже сам автор , piteri (ok), 12:26 , 18-Дек-13, (8)

Можешь писать сервер на C Пиши , Аноним (-), 18:09 , 18-Дек-13, (57) –2

кроме пыха есть ещё стопиццот способов что-то пожевать и выплюнуть контент не о, Куяврик (?), 00:04 , 19-Дек-13, (71) –1
И че Какие-то проблемы писать на C web приложения , slowpoke (?), 13:15 , 19-Дек-13, (89)

Вы понимаете разницу между прикладным ПО и системными компонентами Нет Тогда, анонимен (?), 12:38 , 18-Дек-13, (10) +8

Спасибо, конечно, Кэп, но знаешь, для такого гениального вывода нужны не иссле, jOKer (ok), 12:25 , 18-Дек-13, (7) +3

Вот в демьяне, в своё время, обновилось ядро с 3 2 18 до 3 2 22 в котором есть д, pavlinux (ok), 02:17 , 19-Дек-13, (75) –1

Без моска - не стоит даже пытаться за комп садиться Но, вообще-то, вдумчивые да , jOKer (ok), 11:26 , 19-Дек-13, (86)

Ну вот, чтоб долеко не ходить, лезем http www linuxsecurity com content view 1, pavlinux (ok), 23:31 , 19-Дек-13, (96) –1

Нужно было wallet dat сконифолить у кулхацкеров , Аноним (-), 12:46 , 18-Дек-13, (11)

для майнинга не обязателен кошелек - всё равно все сидят в пуле, Пиу (ok), 14:28 , 18-Дек-13, (27) –1
Чтобы майнить - не обязательно кошелек притаскивать Можно к пулу прицепиться С, Аноним (-), 06:15 , 19-Дек-13, (83)

Загрузил BOINC, и начал искать своих , ip1981 (ok), 14:40 , 18-Дек-13, (30)
Ну например с самыми энтерпрайзными промышленными стабильными дистрибутивами тип, Аноним (-), 16:11 , 18-Дек-13, (40) –4

У них есть security updates вообще-то , Аноним (-), 16:51 , 18-Дек-13, (43) +3

это где redhat бывает добавляет новые дыры , linux must __RIP__ (?), 17:19 , 18-Дек-13, (46) –8

Почему во множественном числе , Аноним (-), 17:29 , 18-Дек-13, (49) +1
Не ошибается лишь тот кто ничего не делает Пользуйся DOS 1 0, там уж точно новы, Аноним (-), 06:17 , 19-Дек-13, (84) +2

Долбодятел Обновления безопасности в Дебиане бывает и раньше апстрима появляются, sirGrey (?), 21:28 , 18-Дек-13, (65) +2
вообще то есть Debian unstable который стабильней всех остальных и при этом акту, slowpoke (?), 13:21 , 19-Дек-13, (90)

Нужно понимать, где chroot-тить, где монтировать ro, где монтировать noexec, где, EuPhobos (ok), 19:47 , 18-Дек-13, (60) +1

Как в дырявой винде чрутнуться А как смонтировать раздел с noexec А rkhunter т, Аноним (-), 20:33 , 18-Дек-13, (61) +1

Мне понравился этот вопрос Только одна поправка слово дырявая применимо не толь, Аноним (-), 21:29 , 18-Дек-13, (66)
На виндузе свои приблуды, о которых мне увы не известно , EuPhobos (ok), 00:22 , 19-Дек-13, (72)

Какое актуальное и свежее исследование Еще немного поисследует парень и откроет, Аноним (-), 04:40 , 19-Дек-13, (76)

Сообщения [Сортировка по времени | RSS]

1. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 11:52

PHP же, причем тут Линукс.

Ответить | Правка | Наверх | Cообщить модератору

3. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –5 +/–

Сообщение от IMHO (?), 18-Дек-13, 12:03

Потому что *BSD пока нет программ для майнинга, а так сам в инете где то читал, как системный админ расспрашивал про майнинг на линуксе биткоинов, потому что сервера толком не нагружены, а их можно немного нагрузить

Ответить | Правка | Наверх | Cообщить модератору

12. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –5 +/–

Сообщение от asavah (ok), 18-Дек-13, 12:54

Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй.
Спасибо за идею :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +4 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:57

> Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй.
> Спасибо за идею :)
Насколько мощные видеокарты на ваших серверах?

Ответить | Правка | Наверх | Cообщить модератору

18. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +10 +/–

Сообщение от Аноним (-), 18-Дек-13, 13:22

Обломал неудавшегося биткоинового магната :)

Ответить | Правка | Наверх | Cообщить модератору

82. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 06:14

> Обломал неудавшегося биткоинового магната :)
Для лайткоинов в принципе и CPU не совсем плох: там скорость работы с RAM роялит. Правда, GPU все-равно эффективнее. Насколько эффективнее будут ASIC? В принципе сделать можно, но алгоритм таков что эффективность ASIC будет как минимум заметно ниже чем в bitcoin, т.к. алгоритму нужно много оперативки.

Ответить | Правка | Наверх | Cообщить модератору

19. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 13:31

Видеокарты уже прошлый век, сейчас в тренде использовать ASIC

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

20. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 13:34

> Видеокарты уже прошлый век, сейчас в тренде использовать ASIC
Я ему хотел про лайты сказать (если бы карты мощные были).

Ответить | Правка | Наверх | Cообщить модератору

33. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от IMHO (?), 18-Дек-13, 15:28

майнить можно не только видео картой

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

36. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 15:45

Да, есть еще азики и фпга.

Ответить | Правка | Наверх | Cообщить модератору

37. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от anonymousZ (?), 18-Дек-13, 15:46

Можно еще ASIC-ками.
А майнить на процессоре - все равно что копать котлован чайной ложкой.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

39. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 18-Дек-13, 15:50

> А майнить на процессоре - все равно что копать котлован чайной ложкой.
Суть ботнетов - собрать миллион ботов с чайными ложками, авось чего выкопают.

Ответить | Правка | Наверх | Cообщить модератору

58. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от anonymousZ (?), 18-Дек-13, 18:52

Не выкопают.
Время когда ботнэты могли что-то выкопать закончилось где-то в конце 2011-го, сейчас они могут разве что паразитную нагрузку создавать. Знаю, потому как сам админил пул некоторое время.

Ответить | Правка | Наверх | Cообщить модератору

80. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 06:10

> Не выкопают.
Выкапывают. Было бы это не так - никто б не заморачивался.

Ответить | Правка | Наверх | Cообщить модератору

93. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от anonymousZ (?), 19-Дек-13, 16:23

Вот за что я люблю школьных аналитиков с опеннет. Нихрена не умею, ничего никогда полезного не делали, но все знают, и на все у них свое экспертное мнение))).
Мощность одного процессорного ядра ~1МХеш. То есть сеть из 10000 ядер будет равна по мощности одному асику за 350 баксов. А что по вашему сделает админ пула увидев 10000 подключений сжирающих канал и имеющих мощность ~0? Правильно - забанит их нахрен.)
>Выкапывают. Было бы это не так - никто б не заморачивался.
Сейчас этим никто и не заморачивается. Ботнеты с майнингом появились в конце 2010, начале 2011. В конце 2012 для майнинга их уже никто не использовал (пытались выбивать деньги с пулов через дос, но, насколько мне известно, успеха это не имело)). Сейчас это просто легаси софт.

Ответить | Правка | Наверх | Cообщить модератору

99. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Хвост (?), 20-Дек-13, 13:15

>Вот за что я люблю школьных аналитиков с опеннет...... В конце 2012 для майнинга их уже никто не использовал.
Смотри 5.85 и думай кто на самом деле "аналитик".

Ответить | Правка | Наверх | Cообщить модератору

100. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от anonymousZ (?), 20-Дек-13, 16:59

>Смотри 5.85 и думай кто на самом деле "аналитик".
Ты наверное?) На заре его существования и биткоин можно было спокойно майнить на проце. Это вопрос не используемой железки, а общей мощности сети, не важно по какому алгоритму ты майнишь. Валют-однодневок по мимо биткоина, было до хрена и больше, только лайткоин набрал какую-то популярность. Никто ради очередной такой валюты ботнеты разворачивать не будет.

Ответить | Правка | Наверх | Cообщить модератору

81. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 06:12

> А майнить на процессоре - все равно что копать котлован чайной ложкой.
Поскольку этим занимаются тысячи железяк и они никуда не торопятся - нехай копают. Через недельку, глядишь, уже солидная яма образуется, а через месяц - вполне себе котлован.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

85. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Хвост (?), 19-Дек-13, 11:05

Смотрим Праймкоин (Primecoin XPM) - криптовалюта, расчитанная на майнинг на процессорах. Если 64 разрядные сервачки с кучей ядрышек, то можно на приличное пиво накопать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

77. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 19-Дек-13, 06:07

> Потому что *BSD пока нет программ для майнинга,
Это примерно как "у меня нет штанов, поэтому их никто не сопрет, вау!".

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

94. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от Аноним (-), 19-Дек-13, 17:58

> PHP же, причем тут Линукс.
В данном случае php - это только способ распространения. Главное другое - под линукс написано столько вредоносных программ в формате ELF, а также скриптов на perl и shell, что они выполнялись аж несколько дней! А некоторые до сих пор продолжают утверждать, что под линукс вирусов нет.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

95. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от fi (ok), 19-Дек-13, 18:23

> до сих пор продолжают утверждать, что под линукс вирусов нет.
Ну и где они эти ваши вирусы? все что в статье - НЕ вирус.

Ответить | Правка | Наверх | Cообщить модератору

97. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от Аноним (-), 20-Дек-13, 09:52

>> до сих пор продолжают утверждать, что под линукс вирусов нет.
> Ну и где они эти ваши вирусы? все что в статье -
> НЕ вирус.
Почему же, это вполне себе вирус. Единственное, он работает на очень малом количестве систем, которые давно не обновлялись и при "правильной" настройке php. На сервер успешно загружается произвольный скрипт "a,pdf" и работает в /var/tmp/ (до ближайшей перезагрузки). Скрипт не получил root-права (это не обязательно), скрипт не остался в системе навечно (это тоже не обязательно). Скрипт смог загрузить стороннее ПО (в том числе и ELF) и выполнить его (а значит при желании он сможет получить и root-права и остаться навечно). Вполне себе сойдет за trojan-loader по классификации популярных антивирусных систем...
Вопрос в другом - хороший способ защиты от таких уязвимостей не установка антивируса. Он вряд ли спасет в случае всяких bash- и perl-скриптов, которые легко может переписать до неузнаваемости программист уровня CodeMonkey. Ну и регулярные обновления всей системы и грамотный подход к организации безопасности системы более логичны, чем регулярное обновление только антивируса + дырявая система.

P.S. Самое неприятное в этой статье - вредоносное ПО на сервак загружали(!), т.е. есть злоумышленники, которые заинтересованы в эксплуатации linux-серверов (им есть чем занять эти сервера). Значит вопрос только в наличии доступной "дырки" для распространения ну и в количестве таких злоумышленников.

Ответить | Правка | Наверх | Cообщить модератору

98. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Ordu (ok), 20-Дек-13, 10:21

> Почему же, это вполне себе вирус.
Нет. Давайте оставим хомячковую терминологию хомячкам. Это червь, бекдор, всё что угодно ещё, но не вирус. Вирусной активности сия малварь не проявляла. Хотя, в общем-то, могла бы. Но под линуксами это действительно гемор, поэтому под линуксом и нет вирусов.

Ответить | Правка | Наверх | Cообщить модератору

2. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +7 +/–

Сообщение от Аноним (-), 18-Дек-13, 11:59

> Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников
Т.е. если установить Apache + PHP на оффтопик, то всё будет пучком? Внатуре, причем тут Линукс то?

Ответить | Правка | Наверх | Cообщить модератору

5. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –6 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:14

При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. С тем же успехом сканируются типовые пароли по SSH, проверяются дыры в популярных web-приложениях на python, perl, ruby. После взлома загружаются не только скрипты, но и бинарники в сборках для Linux.

Ответить | Правка | Наверх | Cообщить модератору

13. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +3 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:54

> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер.
Повторяю вопрос: при чем здесь Linux?

Ответить | Правка | Наверх | Cообщить модератору

16. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –5 +/–

Сообщение от Miha (??), 18-Дек-13, 13:00

>> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер.
> Повторяю вопрос: при чем здесь Linux?
Повторяю ответ: читай пост выше!

Ответить | Правка | Наверх | Cообщить модератору

21. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +5 +/–

Сообщение от Аноним (-), 18-Дек-13, 13:35

>  Повторяю ответ: читай пост выше!
Там какой-то поток сознания, никак не относящийся к заданному вопросу.

Ответить | Правка | Наверх | Cообщить модератору

41. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –3 +/–

Сообщение от wooz (ok), 18-Дек-13, 16:19

>>  Повторяю ответ: читай пост выше!
> Там какой-то поток сознания, никак не относящийся к заданному вопросу.
Специально для упоротых до измененного восприятия:
> бинарники в сборках для Linux.

Ответить | Правка | Наверх | Cообщить модератору

47. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +4 +/–

Сообщение от Аноним (-), 18-Дек-13, 17:26

> бинарники в сборках для Linux.
А еще бывают в сборках для винды и фрибсд. Так чего сказать-то хотел?

Ответить | Правка | Наверх | Cообщить модератору

64. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от Аноним2 (?), 18-Дек-13, 21:01

Ты это, братан, к чему клонишь?

Ответить | Правка | Наверх | Cообщить модератору

79. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 19-Дек-13, 06:09

> Ты это, братан, к чему клонишь?
Наверное намекает что у половины местных бсдшников "без вирусов" - винды в дуалбуте.

Ответить | Правка | Наверх | Cообщить модератору

69. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от Аноним (-), 18-Дек-13, 22:39

Что все вирусы используют уязвимости в софте и линукс тоже им подвержен т к умеет запускать софт. А вообще, смысл в прекращении глупой уверенности в собственной безопасности только по причине того, что установлен линукс.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

67. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 21:42

>бинарники в сборках для Linux
Рация на бронепоезде.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

17. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –4 +/–

Сообщение от Аноним (-), 18-Дек-13, 13:02

> Повторяю вопрос: при чем здесь Linux?
Данная ОС в свете своей популярности на серверах становится хорошей средой для обитания вирусов. Это и была цель исследования.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

22. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 18-Дек-13, 13:36

> Данная ОС в свете своей популярности на серверах становится хорошей средой для
> обитания вирусов. Это и была цель исследования.
Хорошей средой для обитания вирусов ОС делает не популярность на серверах, а что-то другое. Домашнее задание: подумать, что именно.

Ответить | Правка | Наверх | Cообщить модератору

45. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –9 +/–

Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:17

это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами.
И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через которые можно получить админа.
но да лана - можете верить с свой придуманный мир :)

Ответить | Правка | Наверх | Cообщить модератору

48. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 18-Дек-13, 17:28

> это мы уже слышали :) но как показывает практика - дыры в Linux не фиксятся годами.
Скажу по секрету - срок надо считать не с момента появления, а с момента обнаружения.
> И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через
> которые можно получить админа.
Куда уж им до великих спецов из мелкософта!

Ответить | Правка | Наверх | Cообщить модератору

92. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от Аноним (-), 19-Дек-13, 16:23

Момент обнаружения != момент обнародования.
С уважением, ваш кэп.

Ответить | Правка | Наверх | Cообщить модератору

59. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от Аноним (-), 18-Дек-13, 18:57

> это мы уже слышали :) но как показывает практика - дыры в
> Linux не фиксятся годами.
> И даже крутые эксперты из redhat умудряются при бэкпортах добавлять дыры через
> которые можно получить админа.
> но да лана - можете верить с свой придуманный мир :)
А что бы легче было разглядеть реальность можно просто посмотреть на то как исправляют многие ошибки. Например glibc который до сих пор содержит ошибки которые были исправлены в дистрибутивах но не исправлены в основной ветке. Я не говорю сейчас о каких то специфичных для дистрибутива исправлениях, я говорю об ошибках которые в основной ветке живут, даже после того как они были выявлены. Получается что вроде все трудятся над одним и тем же но песочница у всех своя. И так поступают не только разработчики glibc так что отвергать реальность не имеет смысла.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

63. "Эксперимент по изучению деятельности вредоносного ПО,..." +1 +/–

Сообщение от arisu (ok), 18-Дек-13, 20:52

такие слова в приличном обществе принято сопровождать пруфлинками. это, конечно, опеннет — но ты можешь поспособствовать тому, чтобы опеннет стал немного приличней.
намёк ясен?

Ответить | Правка | Наверх | Cообщить модератору

68. "Эксперимент по изучению деятельности вредоносного ПО,..." –1 +/–

Сообщение от Аноним (-), 18-Дек-13, 22:17

> намёк ясен?
Конечно ясен, Вам нужен пруф того о какой ошибке я говорил, но на данный момент я не говорил о какой то недавней ошибке, я говорил цикле и оперативности исправлений в целом. На оперативность так же влияют и сами разработчики которые иногда некоторым ошибкам или уязвимостям ставят низкий приоритет и вот только когда припрет, тогда и появляется патч. А некоторые ошибки живут годами, и выявляют их чаще всего не сами разработчики, а какие нить известные эксперты. Наличие исходного кода и повышение популярности, должно так же повышать чистоту кода и оперативность исправления ошибок. Ответственность растет по мере роста популярности

Ответить | Правка | Наверх | Cообщить модератору

87. "Эксперимент по изучению деятельности вредоносного ПО,..." +/–

Сообщение от ПлюшевыйМишка (?), 19-Дек-13, 12:38

Сышишь, Анон, ты братишка часом не путаешь бекпорт патчи дистрибутивов когда какойнить glibc-2.12 по факту дотягивается патчами до 2.16.0 но при этом продолжает гордо реять версией 2.12-p100500, нет?

Ответить | Правка | Наверх | Cообщить модератору

91. "Эксперимент по изучению деятельности вредоносного ПО,..." +1 +/–

Сообщение от arisu (ok), 19-Дек-13, 15:28

вместо этой портянки мог сразу написать: «я балабол».

Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору

78. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 19-Дек-13, 06:07

> дыры в Linux не фиксятся годами.
Покажи мне дыры в текущем ядре Linux, которым уже годы? Очень интересно.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

88. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от slowpoke (?), 19-Дек-13, 13:11

Просто ему дали венду и сказали что это Linux

Ответить | Правка | Наверх | Cообщить модератору

29. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 14:39

Средой для обитания чего?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

50. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +2 +/–

Сообщение от Аноним (-), 18-Дек-13, 17:30

> Средой для обитания чего?
Вирусов. Эта такая программа, которая встраивает свой код в EXE-файлы.

Ответить | Правка | Наверх | Cообщить модератору

74. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 01:47

В DLL тоже.

Ответить | Правка | Наверх | Cообщить модератору

70. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от Куяврик (?), 19-Дек-13, 00:01

> дыра в PHP
> С тем же успехом сканируются типовые пароли по SSH
в голове админа должен быть набор каштанов десяти сортов, чтобы использовались пароли, да ещё типовые, да ещё с тем же успехом, что и дыры в PHP.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

25. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Организация Объединённых Тюленей (?), 18-Дек-13, 14:20

> всё будет пучком
Пучок вирусов в оффтопике будет, ага.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –14 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:08

При том, что кто-то уже 20 лет упорно кукарекает про какую-то "архитектуру", которая спасает от уязвимостей by design

Ответить | Правка | Наверх | Cообщить модератору

6. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +7 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:22

От уязвимостей спасает не дизайн а способ разработки
Стыдно, юноша

Ответить | Правка | Наверх | Cообщить модератору

9. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –5 +/–

Сообщение от клоун Стаканчик (?), 18-Дек-13, 12:34

И каким же образом? В лицензию написали что нельзя пакостить?

Ответить | Правка | Наверх | Cообщить модератору

14. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +5 +/–

Сообщение от Аноним (-), 18-Дек-13, 12:56

> И каким же образом?
Таким, как вы, объяснять бесполезно. Ваши хозяева и не подозревают, что написание кода можно отдавать не только индусам на аутсорс.

Ответить | Правка | Наверх | Cообщить модератору

24. "Эксперимент по изучению деятельности вредоносного ПО,..." +1 +/–

Сообщение от arisu (ok), 18-Дек-13, 14:07

> И каким же образом? В лицензию написали что нельзя пакостить?
очень простым образом: удержанием подобных тебе подальше. нет вас — нет и дырок.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

56. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 18:08

От уязвимостей спасает дизайн.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от piteri (ok), 18-Дек-13, 12:26

Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его даже сам автор высказался скептически.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

57. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –2 +/–

Сообщение от Аноним (-), 18-Дек-13, 18:09

> Какие 20? Пхп только в 1995 появился. Да и про "архитектуру" его
> даже сам автор высказался скептически.
Можешь писать сервер на C? Пиши.

Ответить | Правка | Наверх | Cообщить модератору

71. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от Куяврик (?), 19-Дек-13, 00:04

> Можешь писать сервер на C? Пиши.
кроме пыха есть ещё стопиццот способов что-то пожевать и выплюнуть контент. не очень умно приплетать сюда C.

Ответить | Правка | Наверх | Cообщить модератору

89. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от slowpoke (?), 19-Дек-13, 13:15

И че? Какие-то проблемы писать на C web приложения?

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

10. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +8 +/–

Сообщение от анонимен (?), 18-Дек-13, 12:38

Вы понимаете разницу между прикладным ПО и системными компонентами ? Нет ? Тогда могу вас поздравить, вы сели в лужу.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +3 +/–

Сообщение от jOKer (ok), 18-Дек-13, 12:25

>и администраторам следует не забывать о поддержании системы в актуальном состоянии
Спасибо, конечно, Кэп, но знаешь, для такого "гениального" вывода нужны не исследования веб серверов, а исследования должностной инструкции сис. админа. В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО.

Ответить | Правка | Наверх | Cообщить модератору

75. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от pavlinux (ok), 19-Дек-13, 02:17

> В ней, если ее по-исследовать, обязательно найдешь пункт о своевременном обновлении ПО.
Вот в демьяне, в своё время, обновилось ядро с 3.2.18 до 3.2.22 в котором есть дыра!
Уверен, что нужно обновляться без мозга в голове? Все одмины вкуривают устройство ядра?
Все могут проверить, создать эксплойт на основании описания?

Ответить | Правка | Наверх | Cообщить модератору

86. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от jOKer (ok), 19-Дек-13, 11:26

>уверен, что нужно обновляться без мозга в голове
Без моска - не стоит даже пытаться за комп садиться.
Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности. Например, сюда http://www.linuxsecurity.com

Ответить | Правка | Наверх | Cообщить модератору

96. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от pavlinux (ok), 19-Дек-13, 23:31

>>уверен, что нужно обновляться без мозга в голове
> Без моска - не стоит даже пытаться за комп садиться.
> Но, вообще-то, вдумчивые да аккуратные админы не забывают смотреть в бюллетени безопасности.
> Например, сюда http://www.linuxsecurity.com
Ну вот, чтоб долеко не ходить, лезем http://www.linuxsecurity.com/content/view/160621/
Засекаем время: 23:17
Package        : pixman
Vulnerability  : integer underflow
Problem type   : remote
Debian-specific: no
CVE ID         : CVE-2013-6425
23:18 - Ищем CVE-2013-6425:
https://security-tracker.debian.org/tracker/CVE-2013-6425 ,     есть в stable
23:21 - Лезем в систему:
# ldconfig -p | grep libpixman
    libpixman-1.so.0 (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so.0
    libpixman-1.so (libc6) => /usr/lib/i386-linux-gnu/libpixman-1.so
есть такое...
23:25 # apt-get install apt-rdepends (пока вспомнишь, чем зависимости искать...)
смотрим кому нужна эта либа
23:26 # apt-rdepends -r libpixman-1-0
23:30 Считаем и куеем.
# apt-rdepends -r libpixman-1-0 | grep -v 'Reverse Depends' | sort -u | wc -l
5212 пакетов
23:31 Лезем искать патч.
23:32 Нашли http://patchwork.freedesktop.org/patch/14769/
23:33 Ушли изучать
http://cgit.freedesktop.org/pixman/commit/?id=5e14da97f16e42...
http://cgit.freedesktop.org/pixman/commit/?id=2f876cf86718d3...
Описалово
Opening the attached file with LibreOffice with enabled anti-aliasing will crash the Intel Xorg driver
(see launchpad bug for details). While a crashing driver is not our bug, it might still be worth a
look to see if we are asking anything illegal from X or if we can workaround the driver bug easily.
Уже легче, юзеры Nvidia спят спокойно.
С отключённым AA, тоже ....
23:38 надо качать соурсы, искать кто юзает # define pixman_trapezoid_valid()
23:44
# cd /tmp/
/tmp # git clone http://anongit.freedesktop.org/git/pixman.git
...
23:45
# grep -r pixman_trapezoid_valid ./
./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:    if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap))
./pixman/pixman-trap.c:        if (!pixman_trapezoid_valid (trap))
./pixman/pixman.h:#define pixman_trapezoid_valid(t)
23:47 ... ля-ля-ля
pixman_add_trapezoids()
Прекрасно...

for (i = 0; i < ntraps; ++i)
    {
        const pixman_trapezoid_t *trap = &(traps[i]);
        if (!pixman_trapezoid_valid (trap))
            continue;
        pixman_rasterize_trapezoid (image, trap, x_off, y_off);
    }

// *traps перед чтением никто не проверял на NULL !!! Отправляем репорт?
Или пороем код, мож там все нормально? Хрен, мне за это не платят.
А тем временем уже  23:50
23:50 роем дальше...
pixman_rasterize_trapezoid()
pixman_add_trapezoids()
get_trap_extents()
23:54  Вот эти 4 нужно искать
23:56 pixman_rasterize_trapezoid()  юзается в cairo
Сколько рыть софта, чтоб нарыть возможную багу от этого исправления?! Почти все на GTK ?
23:57 - 23:17 = 50 минут на поверхностный анализ ОДНОЙ баги!
Ещё 6 баг + обед и рабочий день закончен! А в дверь ломятся юзера, начальники, посредники,
баба Клава провод перегрызла шваброй, пинг тормозит, ддосят твари, спамботы шарются по сайам,
почта оверхедется от спамассасина с кламавом....

Ответить | Правка | Наверх | Cообщить модератору

11. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 12:46

Нужно было wallet.dat сконифолить у кулхацкеров )

Ответить | Правка | Наверх | Cообщить модератору

27. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –1 +/–

Сообщение от Пиу (ok), 18-Дек-13, 14:28

для майнинга не обязателен кошелек - всё равно все сидят в пуле

Ответить | Правка | Наверх | Cообщить модератору

83. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 06:15

> Нужно было wallet.dat сконифолить у кулхацкеров )
Чтобы майнить - не обязательно кошелек притаскивать. Можно к пулу прицепиться. Совсем кстати не факт что хацкерскому.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

30. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от ip1981 (ok), 18-Дек-13, 14:40

Загрузил BOINC, и начал искать *своих*

Ответить | Правка | Наверх | Cообщить модератору

40. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –4 +/–

Сообщение от Аноним (-), 18-Дек-13, 16:11

> поддержании системы в актуальном состоянии
Ну например с самыми энтерпрайзными промышленными стабильными дистрибутивами типа Debian или RH это невозможно в принципе.

Ответить | Правка | Наверх | Cообщить модератору

43. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +3 +/–

Сообщение от Аноним (-), 18-Дек-13, 16:51

У них есть security updates вообще-то.

Ответить | Правка | Наверх | Cообщить модератору

46. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." –8 +/–

Сообщение от linux must __RIP__ (?), 18-Дек-13, 17:19

> У них есть security updates вообще-то.
это где redhat бывает добавляет новые дыры ?

Ответить | Правка | Наверх | Cообщить модератору

49. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 18-Дек-13, 17:29

> это где redhat бывает добавляет новые дыры ?
Почему во множественном числе?

Ответить | Правка | Наверх | Cообщить модератору

84. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +2 +/–

Сообщение от Аноним (-), 19-Дек-13, 06:17

> это где redhat бывает добавляет новые дыры ?
Не ошибается лишь тот кто ничего не делает. Пользуйся DOS 1.0, там уж точно новых дыр никто не добавит.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

65. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +2 +/–

Сообщение от sirGrey (?), 18-Дек-13, 21:28

Долбодятел?
Обновления безопасности в Дебиане бывает и раньше апстрима появляются.
http://www.debian.org/security по десятку-два фиксов в неделю.
Ну иногда и SSH патчат, не без того :)

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

90. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от slowpoke (?), 19-Дек-13, 13:21

вообще то есть Debian unstable который стабильней всех остальных и при этом актуальный

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

60. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от EuPhobos (ok), 18-Дек-13, 19:47

Нужно понимать, где chroot-тить, где монтировать ro, где монтировать noexec, где следить rkhunter-ом, и вообще иметь голову и прямые руки, и всё будет хорошо даже на дырявой венде.

Ответить | Правка | Наверх | Cообщить модератору

61. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +1 +/–

Сообщение от Аноним (-), 18-Дек-13, 20:33

Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А rkhunter там будет работать?

Ответить | Правка | Наверх | Cообщить модератору

66. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 18-Дек-13, 21:29

> Как в дырявой винде чрутнуться? А как смонтировать раздел с noexec? А
> rkhunter там будет работать?
Мне понравился этот вопрос. Только одна поправка слово дырявая применимо не только к винде, не расценивайте это как троллинг. Это отражение суровой реальности. Но ваш вопрос действительно классный даже настроение подняли

Ответить | Правка | Наверх | Cообщить модератору

72. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от EuPhobos (ok), 19-Дек-13, 00:22

На виндузе свои приблуды, о которых мне увы не известно.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

76. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..." +/–

Сообщение от Аноним (-), 19-Дек-13, 04:40

Какое актуальное и свежее исследование. Еще немного поисследует парень и откроет миру руткиты.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
Сообщение от Аноним (-), 18-Дек-13, 11:52
PHP же, причем тут Линукс.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–5 +/–
	Сообщение от IMHO (?), 18-Дек-13, 12:03
	Потому что *BSD пока нет программ для майнинга, а так сам в инете где то читал, как системный админ расспрашивал про майнинг на линуксе биткоинов, потому что сервера толком не нагружены, а их можно немного нагрузить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–5 +/–
	Сообщение от asavah (ok), 18-Дек-13, 12:54
	Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй. Спасибо за идею :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+4 +/–
	Сообщение от Аноним (-), 18-Дек-13, 12:57
	> Гы, у меня есть несколько серваков которые большую часть времени страдают фигнёй. > Спасибо за идею :) Насколько мощные видеокарты на ваших серверах?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+10 +/–
	Сообщение от Аноним (-), 18-Дек-13, 13:22
	Обломал неудавшегося биткоинового магната :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 19-Дек-13, 06:14
	> Обломал неудавшегося биткоинового магната :) Для лайткоинов в принципе и CPU не совсем плох: там скорость работы с RAM роялит. Правда, GPU все-равно эффективнее. Насколько эффективнее будут ASIC? В принципе сделать можно, но алгоритм таков что эффективность ASIC будет как минимум заметно ниже чем в bitcoin, т.к. алгоритму нужно много оперативки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 18-Дек-13, 13:31
	Видеокарты уже прошлый век, сейчас в тренде использовать ASIC
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	20. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 18-Дек-13, 13:34
	> Видеокарты уже прошлый век, сейчас в тренде использовать ASIC Я ему хотел про лайты сказать (если бы карты мощные были).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–1 +/–
	Сообщение от IMHO (?), 18-Дек-13, 15:28
	майнить можно не только видео картой
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	36. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 18-Дек-13, 15:45
	Да, есть еще азики и фпга.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от anonymousZ (?), 18-Дек-13, 15:46
	Можно еще ASIC-ками. А майнить на процессоре - все равно что копать котлован чайной ложкой.
	Ответить \| Правка \| К родителю #33 \| Наверх \| Cообщить модератору


	39. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+1 +/–
	Сообщение от Аноним (-), 18-Дек-13, 15:50
	> А майнить на процессоре - все равно что копать котлован чайной ложкой. Суть ботнетов - собрать миллион ботов с чайными ложками, авось чего выкопают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–2 +/–
	Сообщение от anonymousZ (?), 18-Дек-13, 18:52
	Не выкопают. Время когда ботнэты могли что-то выкопать закончилось где-то в конце 2011-го, сейчас они могут разве что паразитную нагрузку создавать. Знаю, потому как сам админил пул некоторое время.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	80. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 19-Дек-13, 06:10
	> Не выкопают. Выкапывают. Было бы это не так - никто б не заморачивался.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	93. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от anonymousZ (?), 19-Дек-13, 16:23
	Вот за что я люблю школьных аналитиков с опеннет. Нихрена не умею, ничего никогда полезного не делали, но все знают, и на все у них свое экспертное мнение))). Мощность одного процессорного ядра ~1МХеш. То есть сеть из 10000 ядер будет равна по мощности одному асику за 350 баксов. А что по вашему сделает админ пула увидев 10000 подключений сжирающих канал и имеющих мощность ~0? Правильно - забанит их нахрен.) >Выкапывают. Было бы это не так - никто б не заморачивался. Сейчас этим никто и не заморачивается. Ботнеты с майнингом появились в конце 2010, начале 2011. В конце 2012 для майнинга их уже никто не использовал (пытались выбивать деньги с пулов через дос, но, насколько мне известно, успеха это не имело)). Сейчас это просто легаси софт.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	99. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Хвост (?), 20-Дек-13, 13:15
	>Вот за что я люблю школьных аналитиков с опеннет...... В конце 2012 для майнинга их уже никто не использовал. Смотри 5.85 и думай кто на самом деле "аналитик".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	100. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от anonymousZ (?), 20-Дек-13, 16:59
	>Смотри 5.85 и думай кто на самом деле "аналитик". Ты наверное?) На заре его существования и биткоин можно было спокойно майнить на проце. Это вопрос не используемой железки, а общей мощности сети, не важно по какому алгоритму ты майнишь. Валют-однодневок по мимо биткоина, было до хрена и больше, только лайткоин набрал какую-то популярность. Никто ради очередной такой валюты ботнеты разворачивать не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Аноним (-), 19-Дек-13, 06:12
	> А майнить на процессоре - все равно что копать котлован чайной ложкой. Поскольку этим занимаются тысячи железяк и они никуда не торопятся - нехай копают. Через недельку, глядишь, уже солидная яма образуется, а через месяц - вполне себе котлован.
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	85. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+/–
	Сообщение от Хвост (?), 19-Дек-13, 11:05
	Смотрим Праймкоин (Primecoin XPM) - криптовалюта, расчитанная на майнинг на процессорах. Если 64 разрядные сервачки с кучей ядрышек, то можно на приличное пиво накопать.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	77. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+1 +/–
	Сообщение от Аноним (-), 19-Дек-13, 06:07
	> Потому что *BSD пока нет программ для майнинга, Это примерно как "у меня нет штанов, поэтому их никто не сопрет, вау!".
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	94. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–2 +/–
	Сообщение от Аноним (-), 19-Дек-13, 17:58
	> PHP же, причем тут Линукс. В данном случае php - это только способ распространения. Главное другое - под линукс написано столько вредоносных программ в формате ELF, а также скриптов на perl и shell, что они выполнялись аж несколько дней! А некоторые до сих пор продолжают утверждать, что под линукс вирусов нет.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	95. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+1 +/–
	Сообщение от fi (ok), 19-Дек-13, 18:23
	> до сих пор продолжают утверждать, что под линукс вирусов нет. Ну и где они эти ваши вирусы? все что в статье - НЕ вирус.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–1 +/–
	Сообщение от Аноним (-), 20-Дек-13, 09:52
	>> до сих пор продолжают утверждать, что под линукс вирусов нет. > Ну и где они эти ваши вирусы? все что в статье - > НЕ вирус. Почему же, это вполне себе вирус. Единственное, он работает на очень малом количестве систем, которые давно не обновлялись и при "правильной" настройке php. На сервер успешно загружается произвольный скрипт "a,pdf" и работает в /var/tmp/ (до ближайшей перезагрузки). Скрипт не получил root-права (это не обязательно), скрипт не остался в системе навечно (это тоже не обязательно). Скрипт смог загрузить стороннее ПО (в том числе и ELF) и выполнить его (а значит при желании он сможет получить и root-права и остаться навечно). Вполне себе сойдет за trojan-loader по классификации популярных антивирусных систем... Вопрос в другом - хороший способ защиты от таких уязвимостей не установка антивируса. Он вряд ли спасет в случае всяких bash- и perl-скриптов, которые легко может переписать до неузнаваемости программист уровня CodeMonkey. Ну и регулярные обновления всей системы и грамотный подход к организации безопасности системы более логичны, чем регулярное обновление только антивируса + дырявая система. P.S. Самое неприятное в этой статье - вредоносное ПО на сервак загружали(!), т.е. есть злоумышленники, которые заинтересованы в эксплуатации linux-серверов (им есть чем занять эти сервера). Значит вопрос только в наличии доступной "дырки" для распространения ну и в количестве таких злоумышленников.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	98. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+1 +/–
	Сообщение от Ordu (ok), 20-Дек-13, 10:21
	> Почему же, это вполне себе вирус. Нет. Давайте оставим хомячковую терминологию хомячкам. Это червь, бекдор, всё что угодно ещё, но не вирус. Вирусной активности сия малварь не проявляла. Хотя, в общем-то, могла бы. Но под линуксами это действительно гемор, поэтому под линуксом и нет вирусов.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+7 +/–
Сообщение от Аноним (-), 18-Дек-13, 11:59
> Исследователь делает вывод, что Linux-серверы становятся лакомым кусочком для злоумышленников Т.е. если установить Apache + PHP на оффтопик, то всё будет пучком? Внатуре, причем тут Линукс то?
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–6 +/–
	Сообщение от Аноним (-), 18-Дек-13, 12:14
	При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. С тем же успехом сканируются типовые пароли по SSH, проверяются дыры в популярных web-приложениях на python, perl, ruby. После взлома загружаются не только скрипты, но и бинарники в сборках для Linux.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+3 +/–
	Сообщение от Аноним (-), 18-Дек-13, 12:54
	> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. Повторяю вопрос: при чем здесь Linux?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–5 +/–
	Сообщение от Miha (??), 18-Дек-13, 13:00
	>> При том, что дыра в PHP лишь частный случай уязвимости, через которую можно проникнуть на сервер. > Повторяю вопрос: при чем здесь Linux? Повторяю ответ: читай пост выше!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	+5 +/–
	Сообщение от Аноним (-), 18-Дек-13, 13:35
	> Повторяю ответ: читай пост выше! Там какой-то поток сознания, никак не относящийся к заданному вопросу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Эксперимент по изучению деятельности вредоносного ПО, нацеле..."	–3 +/–
	Сообщение от wooz (ok), 18-Дек-13, 16:19
	>> Повторяю ответ: читай пост выше! > Там какой-то поток сознания, никак не относящийся к заданному вопросу. Специально для упоротых до измененного восприятия: > бинарники в сборках для Linux.
	Ответить \| Правка \| Наверх \| Cообщить модератору